蔣彪,騰訊雲高階工程師,10+年專注於作業系統相關技術,Linux核心資深發燒友。目前負責騰訊雲原生OS的研發,以及OS/虛擬化的效能優化工作。
導語
雲原生場景,相比於傳統的IDC場景,業務更加複雜多樣,而原生 Linux kernel 在面對雲原生的各種複雜場景時,時常顯得有些力不從心。本文基於一個騰訊雲原生場景中的一個實際案例,展現針對類似問題的一些排查思路,並希望藉此透視Linux kernel的相關底層邏輯以及可能的優化方向。
背景
騰訊雲客戶某關鍵業務容器所在節點,偶發CPU sys(核心態CPU佔用)衝高的問題,導致業務抖動,復現無規律。節點使用核心為upstream 3.x版本。
現象
在業務負載正常的情況下,監控可見明顯的CPU佔用率毛刺,最高可達100%,同時節點load飆升,此時業務會隨之出現抖動。
捕獲資料
思路
故障現象為CPU sys衝高,即CPU在核心態持續執行導致,分析思路很簡單,需要確認sys衝高時,具體的執行上下文資訊,可以是堆疊,也可以是熱點。
難點:
由於故障出現隨機,持續時間比較短(秒級),而且由於是核心態CPU衝高,當故障復現時,常規排查工具無法得到排程執行,登入終端也會hung住(由於無法正常排程),所以常規監控(通常粒度為分鐘級)和排查工具均無法及時抓到現場資料。
具體操作
秒級監控
通過部署秒級監控(基於atop),在故障復現時能抓到故障發生時的系統級別的上下文資訊,示例如下:
從圖中我們可以看到如下現象:
- sys很高,usr比較低
- 觸發了頁面回收(PAG行),且非常頻繁
- 比如ps之類的程式普遍核心態CPU使用率較高,而使用者態CPU使用率較低,且處於退出狀態
至此,抓到了系統級別的上下文資訊,可以看到故障當時,系統中正在執行的、CPU佔用較高的程式和狀態,也有一些系統級別的統計資訊,但仍無從知曉故障當時,sys具體消耗在了什麼地方,需要通過其他方法/工具繼續抓現場。
故障現場
如前面所說,這裡說的現場,可以是故障當時的瞬時堆疊資訊,也可以是熱點資訊。
對於堆疊的採集,直接能想到的簡單方式:
- pstack
- cat /proc/
/stack
當然這兩種方式都依賴:
- 故障當時CPU佔用高的程式的pid
- 故障時採集程式能及時執行,並得到及時排程、處理
顯然這些對於當前的問題來說,都是難以操作的。
對於熱點的採集,最直接的方式就是perf工具,簡單、直接、易用。但也存在問題:
- 開銷較大,難以常態化部署;如果常態化部署,採集資料量巨大,解析困難
- 故障時不能保證能及時觸發執行
perf本質上是通過pmu硬體進行週期性取樣,實現時採用NMI(x86)進行取樣,所以,一旦觸發採集,就不會受到排程、中斷、軟中斷等因素的干擾。但由於執行perf命令的動作本身必須是在程式上下文中觸發(通過命令列、程式等),所以在故障發生時,由於核心態CPU使用率較高,並不能保證perf命令執行的程式能得到正常排程,從而及時取樣。
因此針對此問題的熱點採集,必須提前部署(常態化部署)。通過兩種方式可解決(緩解)前面提到的開銷大和資料解析困難的問題:
- 降低perf取樣頻率,通常降低到99次/s,實測對真實業務影響可控
- Perf資料切片。通過對perf採集的資料按時間段進行切片,結合雲監控中的故障時間點(段),可以準確定位到相應的資料片,然後做針對性的統計分析。
具體方法:
採集:
`.``/perf` `record -F99 -g -a`
分析:
#檢視header裡面的captured on時間,應該表示結束時間,time of last sample最後採集時間戳,單位是秒,可往前追溯現場時間
./perf report --header-only
#根據時間戳索引
./perf report --time start_tsc,end_tsc
按此思路,通過提前部署perf工具採集到了一個現場,熱點分析如下:
可以看到,主要的熱點在於 shrink_dentry_list 中的一把 spinlock。
分析
現場分析
根據 perf 的結果,我們找到核心中的熱點函式 dentry_lru_del,簡單看下程式碼:
// dentry_lru_del()函式:
static void dentry_lru_del(struct dentry *dentry) {
if (!list_empty(&dentry->d_lru)) {
spin_lock(&dcache_lru_lock);
__dentry_lru_del(dentry);
spin_unlock(&dcache_lru_lock);
}
}
函式中使用到的 spinlock 為 dentry_lru_lock,在3.x核心程式碼中,這是一把超大鎖(全域性鎖)。單個檔案系統的所有的 dentry 都放入同一個lru連結串列(位於superblock)中,對該連結串列的幾乎所有操作(dentry_lru_(add|del|prune|move_tail))都需要拿這把鎖,而且所有的檔案系統共用了同一把全域性鎖(3.x核心程式碼),參考 add 流程:
static void dentry_lru_add(struct dentry *dentry) {
if (list_empty(&dentry->d_lru)) {
// 拿全域性鎖
spin_lock(&dcache_lru_lock);
// 把dentry放入sb的lru連結串列中
list_add(&dentry->d_lru, &dentry->d_sb->s_dentry_lru);
dentry->d_sb->s_nr_dentry_unused++;
dentry_stat.nr_unused++;
spin_unlock(&dcache_lru_lock);
}
}
由於 dentry_lru_lock 是全域性大鎖,可以想到的一些典型場景中都會持這把鎖:
- 檔案系統 umount 流程
- rmdir 流程
- 記憶體回收 shrink_slab 流程
- 程式退出清理/proc目錄流程(proc_flush_task)-前面抓到的現場
其中,檔案系統 umount 時,會清理掉對應 superblock 中的所有 dentry,則會遍歷整個 dentry 的lru連結串列,如果 dentry 數量過多,將直接導致 sys 衝高,而且其他依賴於 dentry_lru_lock 的流程也會產生嚴重的鎖競爭,由於是 spinlock,也會導致其他上下文 sys 衝高。
接下來,再回過頭看之前的秒級監控日誌,就會發現故障是系統的 slab 佔用近60G,非常大:
而dentry cache(位於slab中)很可能是罪魁禍首,確認slab中的物件的具體分佈的最簡便的方法:Slabtop,在相同業務叢集其他節點找到類似環境,可見確實dentry佔用率絕大部分:
我們接下來可以使用 crash 工具線上解析對應檔案系統的 superblock 的 dentry lru 連結串列,可見 unused entry 數量高達2億+
另一方面,根據業務的上下文日誌,可以確認其中一類故障時,業務有刪除 pod 的操作,而刪除pod過程中,會 umount overlayfs,然後會觸發檔案系統 umount 操作,然後就出現這樣的現象,場景完全吻合!
進一步,在有 2億+dentry 環境中,手工drop slab並通過time計時,接近40s,阻塞時間也能吻合。
`time` `echo` `2 > ``/proc/sys/vm/drop_caches`
至此,基本能解釋:sys 衝高的直接原因為dentry數量太多。
億級 Dentry 從何而來
接下來的疑問:為何會有這麼多dentry?
直接的解答方法,找到這些dentry的絕對路徑,然後根據路徑反推業務即可。那麼2億+dentry如何解析?
兩種辦法:
方法1:線上解析
通過crash工具線上解析(手工操練),
基本思路:
- 找到sb中的dentry lru list位置
- List所有的node地址,結果存檔
- 由於entry數量過多,可以進行切片,分批儲存至單獨文件,後續可以批量解析。
- Vim列編輯存檔檔案,批量插入命令(file),儲存為批量執行命令的檔案
- crash -i批量執行命令檔案,結果存檔
- 對批量執行結果進行文字處理,統計檔案路徑和數量
結果示例:
其中:
- db為後面提及的類似xxxxx_dOeSnotExist_.db檔案,佔大部分。
- session為systemd為每個session建立的臨時檔案
db檔案分析如下:
檔名稱有幾個明顯特徵:
- 有統一的計數,可能是某一個容器產生
- 名稱中包含字串“dOeSnotExist“
- 都擁有.db的字尾
對應的絕對路徑示例如下(用於確認所在容器)
如此可以通過繼續通過 overlayfs id 繼續查詢對應的容器(docker inspect),確認業務。
方法2:動態跟蹤
通過編寫 systemtap 指令碼,追蹤 dentry 分配請求,可抓到對應程式(在可復現的前提下),指令碼示例如下:
probe kernel.function("d_alloc") {
printf("[%d] %s(pid:%d ppid:%d) %s %s\n", gettimeofday_ms(), execname(), pid(), ppid(), ppfunc(), kernel_string_n($name->name, $name->len));
}
按程式維度統計:
Xxx_dOeSnotExist_.db檔案分析
通過前面抓取到的路徑可以判斷該檔案與nss庫(證書/金鑰相關)相關,https 服務時,需要使用到底層nss密碼庫,訪問web服務的工具如 curl 都使用到了這個庫,而nss庫存在bug:
https://bugzilla.mozilla.org/show_bug.cgi?id=956082
https://bugzilla.redhat.com/show_bug.cgi?id=1779325
大量訪問不存在的路徑這個行為,是為了檢測是否在網路檔案系統上訪問 nss db, 如果訪問臨時目錄比訪問資料庫目錄快很多,會開啟cache。這個探測過程會嘗試 33ms 內迴圈 stat 不存在的檔案(最大1萬次), 這個行為導致了大量的 negative dentry。
使用curl工具可模擬這個bug,在測試機中執行如下命令:
`strace` `-f -e trace=access curl ``'https://baidu.com'`
規避方法:設定環境變數 NSS_SDB_USE_CACHE=yes
解決方法:升級 pod 內的 nss 服務
至此,問題分析近乎完成。看起來就是一個由平平無奇的使用者態元件的bug引發的血案,分析方法和手段也平平無奇,但後面的分析才是我們關注的重點。
另一種現象
回想前面講到的 dentry_lru_lock 大鎖競爭的場景,仔細分析其他幾例出現 sys 衝高的秒級監控現場,發現這種場景中並無刪除pod動作(也就是沒有 umount 動作),也就意味著沒有遍歷 dentry lru 的動作,按理不應該有反覆持有 dentry_lru_lock 的情況,而且同時會出現sys衝高的現象。
可以看到,故障前後的 cache 回收了2G+,但實際的 free 記憶體並沒有增加,反而減少了,說明此時,業務應該正在大量分配新記憶體,導致記憶體不足,從而導致記憶體一直處於回收狀態(scan 數量增加很多)。
而在記憶體緊張進入直接回收後時,會(可能)shrink_slab,以至於需要持 dentry_lru_lock,這裡的具體邏輯和演算法不分析了:)。當回收記憶體壓力持續時,可能會反覆/併發進入直接回收流程,導致 dentry_lru_lock 鎖競爭,同時,在出現問題的業務場景中,單pod程式擁有2400+執行緒,批量退出時呼叫 proc_flush_task 釋放/proc目錄下的程式目錄項,從而也會批量/併發獲取 dcache_lru_lock 鎖,加劇鎖競爭,從而導致sys衝高。
兩種現象都能基本解釋了。其中,第二種現象相比於第一種,更復雜,原因在於其中涉及到了記憶體緊張時的併發處理邏輯。
解決 & 思考
直接解決/規避
基於前面的分析,可以看出,最直接的解決方式為:
升級 pod nss 服務,或者設定設定環境變數規避
但如果再思考下:如果nss沒有 bug,但其他元件也做了類似可能產生大量 dentry 的動作,比如執行類似這樣的指令碼:
#!/bin/bash
i=0
while (( i < 1000000 )) ; do
if test -e ./$i; then
echo $i > ./$i
fi
((i++))
done
本質上也會不停的產生 dentry(slab),面對這種場景該怎麼辦?可能的簡便的解決/規避方法是:週期性 drop cache/slab,雖然可能引發偶爾的效能小波動,但基本能解決問題。
鎖優化
前面分析指出,導致 sys 衝高的直接原因是 dcache_lru_lock 鎖的競爭,那這把鎖是否有優化空間呢?
答案是:有
看看3.x核心程式碼中的鎖使用:
static void dentry_lru_add(struct dentry *dentry) {
if (list_empty(&dentry->d_lru)) {
//全域性鎖
spin_lock(&dcache_lru_lock);
list_add(&dentry->d_lru, &dentry->d_sb->s_dentry_lru);
dentry->d_sb->s_nr_dentry_unused++;
dentry_stat.nr_unused++;
spin_unlock(&dcache_lru_lock);
}
}
可以明顯看出這是個全域性變數,即所有檔案系統公用的全域性鎖。而實際的 dentry_lru 是放在 superblock 中的,顯然這把鎖的範圍跟lru是不一致的。
於是,新核心版本中,果真把這把鎖放入了 superblock 中:
static void d_lru_del(struct dentry *dentry) {
D_FLAG_VERIFY(dentry, DCACHE_LRU_LIST);
dentry->d_flags &= ~DCACHE_LRU_LIST;
this_cpu_dec(nr_dentry_unused);
if (d_is_negative(dentry)) this_cpu_dec(nr_dentry_negative);
//不再加單獨的鎖,使用list_lru_del原語中自帶的per list的lock
WARN_ON_ONCE(!list_lru_del(&dentry->d_sb->s_dentry_lru, &dentry->d_lru));
}
bool list_lru_add(struct list_lru *lru, struct list_head *item) {
int nid = page_to_nid(virt_to_page(item));
struct list_lru_node *nlru = &lru->node[nid];
struct mem_cgroup *memcg;
struct list_lru_one *l;
//使用per lru list的lock
spin_lock(&nlru->lock);
if (list_empty(item)) {
// …
}
spin_unlock(&nlru->lock);
return false;
}
`
新核心中,棄用了全域性鎖,而改用了 list_lru 原語中自帶的 lock,而由於 list_lru 自身位於 superblock 中,所以,鎖變成了per list(superblock)的鎖,雖然還是有點大,但相比之前減小了許多。
所以,新核心中,對鎖做了優化,但未必能完全解決問題。
繼續思考1
為什麼訪問不存在的檔案/目錄(nss cache和上述指令碼)也會產生 dentry cache 呢?一個不存在的檔案/目錄的 dentry cache 有何用處呢?為何需要保留?表面看,看似沒有必要為一個不存在的檔案/目錄保留 dentry cache。其實,這樣的 dentry cache(後文簡稱dcache)在核心中有標準的定義:Negative dentry
`A special form of dcache entry gets created ``if` `a process attempts to access a non-existent ``file``. Such an entry is known as a negative dentry.`
Negative dentry 具體有何用途?由於 dcache 的主要作用是:用於加快檔案系統中的檔案查詢速度,設想如下場景:如果一個應用總是從一些預先配置好的路徑列表中去查詢指定檔案(類似於 PATH 環境變數),而且該檔案僅存在與這些路徑中的一個,這種情況下,如果存在 negative dcache,則能加速失敗路徑的查詢,整體提升檔案查詢的效能。
繼續思考2
是否能單獨限制 negative dcache 的數量呢?
答案是:可以。
Rhel7.8版本核心中(3.10.0-1127.el7),合入了一個 feature:negative-dentry-limit,專門用來限制 negative dcache 的數量,關於這個 feature 的說明請參考:
https://access.redhat.com/solutions/4982351
關於 feature 的具體實現,請參考:
https://lwn.net/Articles/813353/
具體原理就不解釋了:)
殘酷的現實是:rhel8和upstream kernel都沒有合入這個feature,為啥呢?
請參考:
Redhat 的官方解釋(其實並沒有解釋清楚)
https://access.redhat.com/solutions/5777081
再看看社群的激烈討論:
https://lore.kernel.org/patchwork/cover/960253/
Linus 也親自站出來反對。整體基調是:現有的 cache reclaim 機制已經夠用(夠複雜了),再結合 memcg 的 low 水線等保護措施(cgroup v2才有哦),能處理好 cache reclaim 的活,如果限制的話,可能會涉及到同步回收等,引入新阻塞、問題和不必要的複雜,negative dache 相比於普通的 pagecache 沒有特別之處,不應該被區別對待(被優待),而且 negative dcache 本身回收很快,balabala。
結果是,還是不能進社群,儘管這個功能看起來是如此“實用”。
繼續思考3
還有其他方式能限制 dcache 嗎?
答案是:還有
檔案系統層,提供了 unused_dentry_hard_limit 引數,可以控制 dcache 的整體數量,整體控制邏輯類似。具體程式碼原理也不贅述了,歡迎大家查閱程式碼。
遺憾的是,該引數依賴於各檔案系統自身實現,3.x核心中只看到 overlayfs 有實現,其他檔案系統沒有。所以,通用性有所限制,具體效果未知(未實際驗證)。
至此,看似真的已經分析清楚了?
Think More
能否再思考一下:為什麼 dentry 數量這麼多,而沒有被及時回收呢?
當前案例表面上看似一個有應用(nss)bug引發的核心抖動問題,但如果仔細思考,你會發現這其實還是核心自身面對類似場景的能力不足,其本質問題還在於:
- 回收不及時
- cache 無限制
回收不及時
由於核心中會將訪問過的所有檔案(目錄)對應的 dentry 都快取起來存於slab中(除非有特性標記),用於下次訪問時提示效率,可以看到出問題的環境中,slab佔用都高達60G,其中絕大部分都是 dentry 佔用。
而核心中,僅(絕大部分場景)當記憶體緊張時(到達記憶體水線)才會觸發主動回收cache(主要包括slab和pagecache),而問題環境中,記憶體通常很充足,實際使用較少,絕大部分為快取(slab和pagecache)。
當系統free記憶體低於low水線時,觸發非同步回收(kswapd);當 free 記憶體低於 min 水線是觸發同步回收。也就是說僅當free記憶體低到一定程度(水線)時才能開始回收 dentry,而由於水線通常較低,導致回收時機較晚,而當業務有突發記憶體申請時,可能導致短期內處於記憶體反覆回收狀態。
注:水線(全域性)由核心預設根據記憶體大小計算的,upstream核心中預設的水線比較低。在部分容器場景確實不太合理,新版本核心中有部分優化(可以設定min和low之間的距離),但也不完美。
Memcg async reclaim
在雲原生(容器)場景中,針對cache的有效、及時回收,核心提供了標準非同步回收方式:到達low水線後的 kswapd 回收,但 kswapd 是per-node粒度(全域性),即使在調大 min 和 low 水線之間的 distance 之後(高版本核心支援),仍存在如下不足:
- distance 引數難以通用,難以控制
- 全域性掃描開銷較大,比較笨重
- 單執行緒(per-node)回收,仍可能較慢,不及時
在實際應用中,也常見因為記憶體回收不及時導致水線被擊穿,從而出現業務抖動的問題。針對類似場景的問題,社群在多年前有人提交了 memcg async relaim 的想法和補丁(相對原始),基本原理為:為每個 pod (memcg)建立一個類似 kswapd 這樣的記憶體非同步回收執行緒,當pod級別的 async low 水線達到後,觸發 per-cgroup 基本的非同步記憶體回收。理論上也能比較好的解決/優化類似場景的問題。但最終經過長時間討論後,社群最終沒有接受,主要原因還是出於容器資源開銷和 Isolation 的考慮:
- 如果為每個 cgroup 建立一個核心執行緒,當容器數量較多時,記憶體執行緒數量增多,開銷難以控制。
- 後續優化版本去除了 per-cgroup 的核心回收執行緒,而借用於核心自帶的 workqueue 來做,由於 workqueue 的池化能力,可以合併請求,減少執行緒執行緒建立數量,控制開銷。但隨之而來的是隔離性(Isolation)的問題,問題在於新提交的 workqueue 請求無法 account 到具體的 pod(cgroup),破壞了容器的隔離性。
從Maintainer的角度看,拒絕的理由很充分。但從(雲原生)使用者的角度看,只能是再次的失落,畢竟實際的問題並未得到真正充分解決。
雖然 memcg async reclaim 功能最終未能被社群接受,但仍有少數廠商堅持在自己的版本分支中合入了相應功能,其中的典型代表如 Google,另外還包括我們的 TencentOS Server (原TLinux),我們不僅合入/增強了原有的 memcg async reclaim 功能,還將其整體融入了我們的雲原生資源 QoS 框架,整體為保證業務的記憶體服務質量提供底層支撐。
cache 無限制
Linux 傾向於儘可能將空閒記憶體利用起來,用做cache(主要是page cache和slab),用於提升效能(主要是檔案訪問)。意味著系統中 cache 可以幾乎不限制(只要有free記憶體)的增長。在現實場景中帶來不少的問題,本案例中的問題就是其中一種典型。如果有 cache limit 能力,理論上能很大程度解決類似問題。
Cache limit
而關於page cache limit話題,多年前曾在 Kernel upstream 社群中持續爭論了很長一段時間,但最終還是未能進入upstream,主要原因還在於違背了儘量利用記憶體的初衷。儘管在一些場景中確實存在一些問題,社群仍建議通過其他方式解決(業務或者其他核心手段)。
雖然社群未接受,但少部分廠商還是堅持在自己的版本分支中合入了 page cache limit 功能,其中典型代表如SUSE,另外還包括我們的 TencentOS Server(原TLinux),我們不僅合入/增強了 page cache limit 功能,支援同步/非同步回收,同時還增強了 slab limit 的限制,可以同時限制 page cache 和 slab 的用量。該功能在很多場景中起到了關鍵作用。
結論
- 在如下多個條件同時發生時,可能出現 dentry list 相關的鎖競爭,導致sys高:
- 系統中存在大量dentry快取(容器訪問過的大量檔案/目錄,不停累積)
- 業務突發記憶體申請,導致free記憶體突破水線,觸發記憶體回收(反覆)
- 業務程式退出,退出時需要清理/proc 檔案,期間依賴於 dentry list 的大鎖,出現 spinlock race。
- 使用者態應用 nss bug 導致 dcache 過多,是事故的直接原因。
- 深層次思考,可以發現,upstream kernel 為考慮通用性、架構優雅等因素,放棄了很多實用功能和設計,在雲原生場景中,難以滿足極致需求,要成為雲原生OS的核心底座,還需要深度hack。
- TencentOS Server 為雲原生海量場景做了大量深度定製和優化,能自如應對複雜、極端雲原生業務帶來各種挑戰(包括本案例中涉及的問題)。此外,TencentOS Server 還設計實現了雲原生資源 QoS 保障特性(RUE),為不同優先順序的容器提供了各種關鍵資源的 QoS 保障能力。敬請期待相關分享。
結語
在雲原生場景中,upstream kerne l難以滿足極端場景的極致需求,要成為雲原生OS的底座,還需要深度hack。而 TencentOS Server 正為之不懈努力!
【注:案例素材取自騰訊雲虛擬化團隊和雲技術運營團隊】
容器服務(Tencent Kubernetes Engine,TKE)是騰訊雲提供的基於 Kubernetes,一站式雲原生 PaaS 服務平臺。為使用者提供整合了容器叢集排程、Helm 應用編排、Docker 映象管理、Istio服務治理、自動化DevOps以及全套監控運維體系的企業級服務。